El presidente de Microsoft, Brad Smith, advirtió que la piratería de amplio alcance del software de TI Orion de SolarWinds está "en curso" y que las investigaciones revelan "un ataque que es notable por su alcance, sofisticación e impacto". La violación se dirigió a varias agencias del gobierno de EE. UU. Y se cree que fue llevada a cabo por piratas informáticos del estado-nación ruso.
Smith caracterizó el hack como "un momento de ajuste de cuentas" y expuso en términos inequívocos qué tan grande y peligroso Microsoft cree que es el hack. “Representa un acto de imprudencia que creó una seria vulnerabilidad tecnológica para Estados Unidos y el mundo”, argumenta Smith.
Él cree que "no es solo un ataque a objetivos específicos, sino a la confianza y confiabilidad de la infraestructura crítica del mundo para hacer avanzar la agencia de inteligencia de una nación". Aunque la publicación no llega a acusar explícitamente a Rusia, la implicación es muy clara. "Las próximas semanas proporcionarán una cantidad creciente y creemos que existen pruebas indiscutibles sobre la fuente de estos ataques recientes", según Smith.
Para ilustrar el alcance del hack, Smith incluyó un mapa que usaba telemetría tomada del software Defender Anti-Virus de Microsoft para mostrar a las personas que habían instalado versiones del software Orion que contenían malware de los hackers.
Microsoft también ha estado trabajando esta semana para notificar a "más de 40 clientes que los atacantes atacaron con mayor precisión y comprometieron a través de medidas adicionales y sofisticadas", según Smith. Aproximadamente el 80 por ciento de esos clientes se encuentran en los EE. UU., Pero Microsoft también identificó víctimas en Canadá, México, Bélgica, España, el Reino Unido, Israel y los Emiratos Árabes Unidos. "Es seguro que el número y la ubicación de las víctimas seguirá creciendo", dijo Smith.
Las investigaciones sobre el hackeo están en curso. El Buró Federal de Investigaciones (FBI), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Oficina del Director de Inteligencia Nacional (ODNI) emitieron una declaración conjunta el miércoles para decir que estaban coordinando un "gobierno completo respuesta a este importante incidente cibernético ". Y Smith advirtió que "todos deberíamos estar preparados para historias sobre víctimas adicionales en el sector público y otras empresas y organizaciones".
Más temprano el jueves, Reuters informó que Microsoft había sido pirateado como parte de la violación y que "también tenía sus propios productos apalancados para promover los ataques a otros". Pero Microsoft negó esa afirmación en un comunicado a The Verge:
Al igual que otros clientes de SolarWinds, hemos estado buscando activamente indicadores de este actor y podemos confirmar que detectamos binarios de Solar Winds maliciosos en nuestro entorno, que aislamos y eliminamos. No hemos encontrado evidencia de acceso a servicios de producción o datos de clientes. Nuestras investigaciones, que están en curso, no han encontrado absolutamente ningún indicio de que nuestros sistemas se hayan utilizado para atacar a otros.
Microsoft ha estado respondiendo al ataque desde el 13 de diciembre , incluido el bloqueo de versiones de SolarWinds Orion que contenían el malware. Microsoft y una coalición de empresas de tecnología también tomaron el control de un dominio que jugó un papel clave en la violación de SolarWinds, informó ZDNet .
SolarWinds también ha dado el paso de ocultar una lista de clientes de alto perfil en su sitio web, quizás para protegerlos de la publicidad negativa. La lista incluía más de 425 de las empresas de Fortune 500.
En cuanto a Microsoft, Smith utilizó su publicación para pedir una respuesta comunitaria más organizada contra los ciberataques, tanto a nivel gubernamental como entre instituciones privadas. “Necesitamos una estrategia nacional y global más eficaz para protegernos contra los ciberataques”, escribe. Microsoft también está buscando "medidas más sólidas para responsabilizar a los estados-nación por los ciberataques".